Tema 3 IT Governance

UNIVERSIDADE
JOAQUIM CHISSANO
IAI: Introdução à Auditoria Informática

UNIVERSIDADE
JOAQUIM CHISSANO
Tema 3:
▪ IT Governance
▪ COBIT
Compilado por:
Sérgio Simbine
sergio.simbine@gmail.com
Outubro, 2022
UNIVERSIDADE
JOAQUIM CHISSANO
Apresentação
Sérgio Simbine
✓ Mestre em Sistemas de Informação pela UEM;
✓ Membro do ISACA – Information Systems Audit and Control
Association (ISACA ID 748519);
✓ Certified Information System Auditor (CISA) – pela ISACA;
✓ Certified COBIT 5 Foundation – pela ISACA;
✓ Certified COBIT 4.1 – pela ISACA;
✓ Certified ISO 22301 Lead Auditor – pela Continuity Link.
✓ Consultor de TI: IT Governance, Continuidade de Negócios, Gestão de
Riscos de TI e Segurança Cibernética
✓ Auditor de TI com mais de 20 anos de experiência
✓ Docente universitário com mais de 15 anos de experiência
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2022 3
UNIVERSIDADE
JOAQUIM CHISSANO
Introdução
Objectivos
Aplicar os conhecimentos e ferramentas para o exercício da auditoria
informática em ambientes de gestão informatizados.
No fim do curso o estudante deve ser capaz de:

✓ Dominar um conjunto de conceitos organizacionais e tecnológicos essenciais ao
desenvolvimento da actividade relacionadas com o IT Governance;
✓ Conhecer os conceitos gerais da metodologia COBIT;
UNIVERSIDADE
JOAQUIM CHISSANO
Agenda
✓ Materialidade
✓ Evidências
✓Sistema de Controlo Interno
✓CAAT´s – Computer Assisted Audit Techiniques /Tools
UNIVERSIDADE
JOAQUIM CHISSANO
IT Governance
✓ Governance (Governação)
✓ Corporate Governance
✓ IT Governance
UNIVERSIDADE
JOAQUIM CHISSANO
IT Governance
Governanção - A União e harmonização das diversas práticas de gestão, apoiadas nas melhores práticas internacionais.
Princípios de Governanção
1. Dirigir e Controlar –
2. Responsabilidade - Definir quem deve garantir a execução - Função delegável.
3. Accountability – Definir quem é o responsável final pelo projecto - Função não delegável.
4. Actividades – Executar o projecto/processo de maneira ordenada.
UNIVERSIDADE
JOAQUIM CHISSANO IT Governance
Corporate Governance - O que é?
✓ “É o conjunto de processos, costumes, políticas, leis, regulamentos e
instituições que regulam a maneira como uma organização é dirigida,
administrada ou controlada.
✓ O termo inclui também o estudo sobre as relações entre os diversos actores

envolvidos (os stakeholders) e os objectivos pelos quais a empresa se orienta“
✓ “Descreve a forma ou modo no qual os direitos e responsabilidades são

compartilhadas entre vários participantes da organização, especialmente
administração e accionistas”
UNIVERSIDADE
JOAQUIM CHISSANO
Corporate Governance
Objectivos do Corporate Governance:
✓ “Criar um conjunto eficiente de mecanismos, tanto de incentivos quanto de monitorização, a fim de assegurar
que o comportamento dos executivos esteja sempre alinhado com o interesse dos accionistas”.
✓ A empresa que opta pelas boas práticas de corporate governance adopta como linhas mestras a transparência, a
prestação de contas (accountability), a equidade e a responsabilidade corporativa. Para tanto, o Conselho de
Administração, representante dos accionistas, deve exercer seu papel, estabelecendo estratégias para a empresa,
elegendo e destituindo o principal executivo, fiscalizando e avaliando o desempenho da gestão e escolhendo a
auditoria independente.
UNIVERSIDADE
JOAQUIM CHISSANO
Principais Actores:
▪ Accionistas,
▪ Conselho de Administração,
▪ Conselho de Gestão,
Outros participantes:
▪ Funcionários,
▪ Fornecedores,
▪ Clientes,
▪ Bancos e outros credores
▪ Instituições reguladoras (como Banco Central)
▪ Meio-ambiente;e
▪ Comunidade em geral.
UNIVERSIDADE
JOAQUIM CHISSANO
Pilares do Corporate Governance:
UNIVERSIDADE
JOAQUIM CHISSANO
Corporate Governance - Origem?
✓ Metade dos anos 90 - movimento iniciado principalmente nos Estados Unidos;
✓ Accionistas despertaram para a necessidade de novas regras que os
protegessem dos abusos do conselho executivo das empresas
✓ Inércia de conselhos de administração inoperantes e das omissões das
auditorias externas.
✓ Superar o "conflito de agência", decorrente da separação entre a propriedade e
a gestão empresarial. Os interesses do gestor nem sempre estarão alinhados
com os do proprietário, resultando em um conflito de agência ou conflito
agente-principal
UNIVERSIDADE
JOAQUIM CHISSANO
Consequência da Falta de Sistema de Corporate Governance:
A ausência de conselheiros qualificados e de bons sistemas de Corporate Governance tem
levado empresas a fracassos decorrentes de:
▪ Abusos de poder (do accionista controlador sobre minoritários, da gestão sobre o
accionista e dos administradores sobre terceiros);
▪ Erros estratégicos (resultado de muito poder concentrado no executivo principal);
▪ Fraudes (uso de informação privilegiada em benefício próprio, actuação em conflito
de interesses).
UNIVERSIDADE
JOAQUIM CHISSANO Corporate Governance
Posicionamento da Função de Auditoria SI - Estrutura Ideal
Conselho de
Administração
Comité de
Conselho Fiscal
Auditoria/ Gestão
de Risco
Auditoria Interna Conselho de

(Processos de Gestão
Negócio)
(Auditoria de SI)
Direcções /
Departamentos/
Unidades
UNIVERSIDADE
JOAQUIM CHISSANO
Origem e Definição de Comité de Auditoria
O Comité de Auditoria é estabelecido pelo Conselho de Administração para:
✓ Dar-lhe uma garantia adicional a respeito da qualidade e fiabilidade da
informação financeira e das demonstrações financeiras emitidas pela empresa;
✓ Prestar-lhe apoio a respeito do perfil do risco e da gestão de risco da empresa;
✓ Prestar-lhe assistência na execução das suas responsabilidades:
▪ Salvaguarda dos activos;
▪ Manutenção de registos contabilísticos;
▪ Manutenção de um Sistema de Controlo Interno eficiente e eficaz.
UNIVERSIDADE
JOAQUIM CHISSANO
✓ Surge na sequência da divulgação das ideias e princípios de Corporate Governance nas
Empresas
✓ África do Sul - Recomendação do King Code of Corporate Practises and Conduct
✓ UK - Recomendação do Cadbury Committee
✓ USA – Recomendação de Sarbannes-Oxley
UNIVERSIDADE
JOAQUIM CHISSANO
O Conselho Fiscal:
✓ é uma figura imposta pela Lei das Sociedades
✓ é uma imposição legal
✓ reporta aos Sócios
✓ é co-responsável pelo cumprimento da Lei e pela legalidade das acções da firma
UNIVERSIDADE
JOAQUIM CHISSANO
Membros do Comité de Auditoria
✓ O Comité de Auditoria deve ser constituído de forma a assegurar a sua independência.
✓ O Comité de Auditoria deverá ser nomeado pelo Conselho de Administração e agirá de acordo
com as seguintes directivas que orientam a sua composição:
✓ Comportará, no mínimo, três membros não-executivos, seleccionados de entre os accionistas e um
presidente não-executivo
✓ O presidente não-executivo será eleito pelo Conselho de Administração.
✓ Todos os membros terão conhecimentos básicos na área financeira e de contabilidade, e um dos
membros do comité deverá possuir especialização em Gestão, Contabilidade ou relacionada com
a Área Financeira.
✓ Os membros podem melhorar a sua familiaridade com finanças e contabilidade, participando em
programas educacionais realizados pela empresa ou por um consultor externo.
UNIVERSIDADE
JOAQUIM CHISSANO
Qualificações Necessárias do Comité de Auditoria
✓ O desempenho da missão depende do conhecimento dos seus membros e da competência em
questões de negócio, controlos internos do relatório financeiro e auditoria.
✓ Todos os membros devem possuir experiência em algumas áreas relativas ao negócio, e pelo
menos um dos membros deverá estar familiarizado com a indústria da empresa.
✓ Todos os membros devem ter formação básica em finanças - conhecimentos sobre balanço,
demonstração de resultados e mapa de fluxo de caixa da empresa.
✓ Pelo menos um dos membros, normalmente o presidente, deverá ter um sólido
conhecimento na área de finanças, contabilidade, ou auditoria.
✓ Boa capacidade de comunicação e relacionamento interpessoal.
UNIVERSIDADE
JOAQUIM CHISSANO
Principais Responsabilidades e Deveres do C. A. - Gerais
✓ Estabelecer uma carta de Auditoria (audit charter)
▪ para orientar a abordagem de auditoria
▪ formular as normas que regulam a relação de auditoria;
✓ Avaliar os processos e os resultados respeitantes aos riscos da empresa e ambiente de controlo;
✓ Supervisar o processo de apresentação de relatórios financeiros;
✓ Avaliar e coordenar o processo de auditoria interna e externa;
✓ Promover e melhorar a comunicação e o contacto entre as partes interessadas pertinentes na

empresa;
✓ Monitorar o cumprimento dos requisitos legais da empresa e o código de conduta da empresa.

UNIVERSIDADE
JOAQUIM CHISSANO
Principais Responsabilidades e Deveres do C. A. Específicas – Relacionamento
com Auditoria Interna
✓ Rever e aprovar o Plano de Auditoria Interna,
✓ Concordar com a nomeação ou remoção do gerente geral de auditoria interna.
✓ Rever as actividades, estrutura organizacional e qualificações do departamento de auditoria interna.
✓ Rever os planos e orçamentos da auditoria interna.
✓ Rever os resultados de todos os trabalhos de auditoria interna executados.
✓ Rever e garantir a qualidade das revisões executadas sobre o trabalho do departamento de auditoria interna.
✓ Assegurar que a auditoria interna cumpre as normas e regulamentos pertinentes.
✓ Assegurar que o departamento de auditoria interna mantém a sua independência.
✓ Rever os relatórios de auditoria interna à gerência e a resposta da gerência aos mesmos.
UNIVERSIDADE
JOAQUIM CHISSANO
Principais Responsabilidades e Deveres do C. A. Específicas – Gestão do Risco do Negócio
✓ Facilitar as avaliações do risco, por forma a que se possam determinar os riscos materiais aos
quais a empresa pode estar exposta e avaliar a estratégia para gerir esses riscos.
✓ Usar a estratégia de gestão de risco para priorizar e orientar o esforço de auditoria e determinar as
qualificações e competências exigidas para gerir esses riscos.
✓ Rever e avaliar os relatórios emitidos pelo Comité de Gestão de Risco.
✓ Rever se as funções e responsabilidades do Comité de Gestão de Risco, como estabelecido no seu

plano, foram atingidas com a devida eficácia e eficiência.
UNIVERSIDADE
JOAQUIM CHISSANO
Principais Responsabilidades e Deveres do C. A. Específicas – Auditoria Externa
✓ Rever os honorários e outras compensações a serem pagas;
✓ Rever e debater com o auditor externo todas as relações significativas que os auditores tenham com a
empresa, por forma a determinar a independência do auditor;
✓ Periodicamente, consultar o auditor externo a respeito dos sistemas de controlo interno e da integridade e
exactidão das demonstrações financeiras do grupo;
✓ Rever os relatórios de auditoria externa, de modo a assegurar que acções atempadas sejam tomadas pela
gerência a respeito desses relatórios;
✓ Rever todos os desacordos significativos entre a gerência e o auditor externo com relação a qualquer
relatório de auditoria externa.
✓ Avaliar o desempenho do auditor externo.
UNIVERSIDADE
JOAQUIM CHISSANO Corporate Governance
O Papel do C. A. no Desenvolvimento das Organizações
✓ Melhor Avaliação do Risco
✓ Mais transparência
✓ Maior isenção e independência
✓ Melhor coordenação e organização
✓ Mais comunicação
✓ Mais responsabilização
✓ Maior integridade no processo de decisão
✓ Cumprimento das Leis e Directivas
✓ Opinião Imparcial e recomendações atempadas
✓ Mais desenvolvimento da organização!!

UNIVERSIDADE
JOAQUIM CHISSANO
IT Governance
IT Governance
✓ Conjunto de Conceitos, estratégias, definições e objectivos que visam
abordar os diversos aspectos e pontos de vista em relação ao
“objecto” a ser controlado;
✓ Não é um conjunto de “ soluções”;
✓ Não é um “padrão”, no sentido de sua aplicação prática;
✓ Complementa-se e intercala-se com diversos “padrões” e “soluções”

de mercado, que devem adaptar-se ao framework.
UNIVERSIDADE
JOAQUIM CHISSANO
IT Governance
Importância de um Framework
✓ Criar linguagem comum entre os diversos sectores envolvidos, tanto
internamente às empresas quanto no mercado;
✓ Possibilitar a comparação (de alto nível) entre as soluções adoptadas em

diferentes empresas, sectores, mercados etc.;
✓ Facilitar o compartilhamento de ferramentas, conhecimento e melhores

práticas;
✓ Facilitar a comunicação e a definição de responsabilidades nos diversos níveis

da empresa.
UNIVERSIDADE
JOAQUIM CHISSANO
IT Governance
Implantar um modelo de gestão é:
✓ Melhorar a cultura organizacional com relação aos serviços prestados por TI
✓ Consciencializar o pessoal de TI sobre a importância dos controlos;
✓ Delegar responsabilidades entre os participantes dos processos, tanto do lado de

TI como do lado de negócios;
✓ Ressaltar que ter controlo não significa BUROCRATIZAR;
✓ Ser transparente. Todos devem saber os respectivos papéis e responsabilidades.
UNIVERSIDADE
JOAQUIM CHISSANO
IT Governance
Pilares de Governança de TI:
✓ Os principais objectivos de um modelo de gestão só podem ser conseguidos por meio da melhor
utilização dos seguintes recursos:
▪ Pessoas (Utilizadores, clientes, equipe de TI e Gestores) – comunicação, treinamento e

definição clara de papéis e responsabilidades, para todas as partes envolvidas, são essenciais
para a utilização deste valioso recurso.
▪ Processos – são o coração da organização de TI, pois concentra as actividades de operação

do dia-a-dia, planeamento e melhoria dos serviços.
▪ Tecnologia – Deve ser considerado como recurso auxiliar na implantação de um modelo de

gestão. A simples utilização não quer dizer que se está trabalhando adequadamente.
UNIVERSIDADE
JOAQUIM CHISSANO
IT Governance
Principais desafios da TI:
✓ Muitas empresas investem quantias significativas em recursos de TI. O desafio é adaptar a
complexidade e riscos de TI às demandas dinâmicas do negócio.
▪ Manter a TI operacional
▪ Valor
▪ Custos
▪ Gerir a Complexidade
▪ Alinhar TI com os negócios
▪ Exigências legais
▪ Segurança
UNIVERSIDADE
JOAQUIM CHISSANO
IT Governance
Manter a TI Operacional:
✓ Organizações modernas dependem estrategicamente de TI. Quando os sistemas estão indisponíveis
como resultado de uma falha técnica os impactos são geralmente significativos.
Problemas Típicos:
▪ Ruptura em processos críticos do negócio
▪ Pessoal administrativo não pode executar tarefas diárias
▪ Clientes não podem contactar o call center
▪ Pode resultar em perda de negócios, redução de lucros e danos na imagem da empresa
UNIVERSIDADE
JOAQUIM CHISSANO
IT Governance
Valor:
✓ Dada a importância dos investimentos feitos em TI e sua importância estratégica, a organização
necessita que a TI seja provedora de VALOR. Muitos projectos de TI excedem a previsão de
custos e prazos. Organizações modernas dependem estrategicamente de TI. Quando os sistemas
estão indisponíveis como resultado de uma falha técnica os impactos são geralmente significativos.
Problemas Típicos:
▪ Má definição dos requisitos
▪ Sistemas muito complexos para implementação
▪ Deficiência de recursos com experiência
▪ Deficiente Gestão de projectos

UNIVERSIDADE
JOAQUIM CHISSANO
IT Governance
Custos:
✓ Apesar do Baixo custo de Hardware em TI, o custo total tem aumentado e os Gestores de topo o
consideram fora de controlo.
Problemas Típicos:
▪ Muitas organizações não entendem os custos associados aos seus activos
▪ O orçamento operacional aumenta a cada ano como resultado do complexo licenciamento,

manutenção e contratos de terceirização.
▪ Défice recursos com experiência
▪ Projectos abandonados geram grandes perdas financeiras
UNIVERSIDADE
JOAQUIM CHISSANO
IT Governance
Gerir a Complexidade:
✓ O desenvolvimento tecnológico é rápido e numerosos fornecedores e soluções estão disponíveis. O
domínio de TI se expandiu e envolve inúmeros provedores de serviço.
Problemas Típicos:
▪ Manter a competência técnica
▪ Gerir diversas infra-estruturas tecnológicas
▪ Adaptar para mudanças rápidas e novos desenvolvimentos
▪ Gerir relacionamentos externos e provedores de serviços
UNIVERSIDADE
JOAQUIM CHISSANO
IT Governance
Alinhar TI com o Negócio:
✓ O desafio é assegurar que TI atenderá as necessidades de negócio. Em muitas organizações a distância entre a
expectativa dos clientes e o que TI pode prover ainda existe.
Problemas Típicos:
▪ Requerimentos de negócio pobremente definidos
▪ Falta de habilidade para determinar prioridades
▪ Complexidade dos projectos
▪ Falta de comprometimento da alta administração
▪ Falta de um claro direccionamento para soluções
▪ Problemas de comunicação entre Negócio e TI
UNIVERSIDADE
JOAQUIM CHISSANO
IT Governance
Exigências Legais:
✓ Leis e Regulamentos afectam os negócios e impactam a TI. A função de TI é estar
atenta aos regulamentos tanto nacionais como internacionais.
Problemas Típicos:
▪ Governança Corporativa e relatórios financeiros
▪ Privacidade e segurança
▪ Ex.: Sarbanes-Oxley, Avisos do Banco de Moçambique
UNIVERSIDADE
JOAQUIM CHISSANO
IT Governance
Segurança:
✓ O desejo de deixar a informação imediatamente disponível utilizando a tecnologia traz
riscos de segurança.
Os Riscos são aumentados por vários factores:
▪ A utilização de Internet e redes que expõem os sistemas internos ao mundo
▪ Ataques de Vírus e Hackers
▪ Complexidade técnica do ambiente de TI e os problemas associados de segurança
▪ Pouco conhecimento dos clientes sobre segurança da informação
UNIVERSIDADE
JOAQUIM CHISSANO
IT Governance
Áreas de Foco na Governança de TI:
✓ Alinhamento Estratégico - Foca em garantir a ligação entre os planos de negócios e
de TI, definindo, mantendo e validando a proposta de valor de TI, alinhando as
operações de TI com as operações da organização.
✓ Entrega de Valor - É a execução da proposta de valor de IT através do ciclo de

entrega, garantindo que TI entrega os prometidos benefícios previstos na estratégia
da organização, concentrando-se em optimizar custos e provendo o valor intrínseco
de TI.
UNIVERSIDADE
JOAQUIM CHISSANO
IT Governance
Áreas de Foco na Governança de TI
✓ Gestão de Recursos
✓ Gestão de Risco
✓ Mensuração de desempenho
UNIVERSIDADE
JOAQUIM CHISSANO
IT Governance
✓ Alinhamento Estratégico -Foca em garantir a ligação entre os planos
de negócios e de TI, definindo, mantendo e validando a proposta de
valor de TI, alinhando as operações de TI com as operações da
organização.
✓ Entrega de Valor - É a execução da proposta de valor de IT através do

ciclo de entrega, garantindo que TI entrega os prometidos benefícios
previstos na estratégia da organização, concentrando-se em optimizar
custos e provendo o valor intrínseco de TI.
UNIVERSIDADE
JOAQUIM CHISSANO
IT Governance
✓ Gestão de Recursos - Refere-se à melhor utilização possível dos investimentos e o
apropriado gestão dos recursos críticos de TI: aplicativos, informações, infra-
estrutura e pessoas. Questões relevantes referem-se à optimização do conhecimento e
infra-estrutura.
✓ Gestão de Risco - Requer a preocupação com riscos pelos funcionários mais

experientes da corporação, um entendimento claro do apetite de risco da empresa e
dos requerimentos de conformidade, transparência sobre os riscos significantes para a
organização e inserção do gestão de riscos nas actividades da companhia.
UNIVERSIDADE
JOAQUIM CHISSANO
IT Governance
✓ Mensuração de desempenho - Acompanha e monitora a
implementação da estratégia, término do projecto, uso dos
recursos, processo de performance e entrega dos serviços,
usando, por exemplo, “Balanced Scorecards” que traduzem
as estratégia em acções para atingir os objectivos, medidos
através de processos contabilísticos convencionais.
UNIVERSIDADE
JOAQUIM CHISSANO
IT Governance
Requisitos para a Governança de TI
✓ Redução de Custos
✓ Decisões de investimentos em TI
✓ Melhoria dos controlos internos
✓ Segurança e disponibilidade de serviços
✓ Equilíbrio entre investimentos, riscos e controlos
✓ Aumento da competitividade da organização
✓ Criação de uma linguagem comum entre TI e a área de negócio
✓ Comparações (Benchmarking) entre o ambiente de TI actual e futuro

UNIVERSIDADE
JOAQUIM CHISSANO
Agenda
✓ Materialidade
✓ Evidências
✓Sistema de Controlo Interno
✓CAAT´s – Computer Assisted Audit Techiniques /Tools
UNIVERSIDADE
JOAQUIM CHISSANO
O Novo Desafio para Governança Corporativa
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2022
UNIVERSIDADE
JOAQUIM CHISSANO
COBIT
✓ Histórico do Framework COBIT
✓ COBIT 5 Vs Cobit 4.1
✓ Conceito do COBIT 5
✓ Estrutura do COBIT 5
✓ Os 5 Princípios do COBIT 5
✓ Considerações Finais
UNIVERSIDADE
JOAQUIM CHISSANO Histórico do Framework COBIT
UNIVERSIDADE
JOAQUIM CHISSANO
COBIT
COBIT 4.1 vs COBIT 5
• Critério
•Cobit 4.1
• COBIT 5
•Critério
•Cobit 4.1
UNIVERSIDADE
JOAQUIM CHISSANO
COBIT 5
COBIT 5 - O que é?
✓ O COBIT 5, desenvolvido e difundido pelo ISACA (Information System Audit
and Control) é um framework de governança e gestão corporativa de TI.
✓ Governança Corporativa de TI: insere-se na Governança Corporativa da
organização e é dirigida por esta, e busca o direccionamento da TI para
atender o negócio e o monitoramento para verificar a conformidade de acordo
com as orientações da administração da organização.
✓ A Governança Corporativa de TI não é de responsabilidade exclusiva dos
gestores de TI e, sim, da gestão de topo(board).
UNIVERSIDADE
JOAQUIM CHISSANO COBIT 5
✓ Gestão de TI: sistema de controlos e processos necessários para alcançar
os objectivos estratégicos estabelecidos pela direção da organização.
✓ A Gestão de TI implica a utilização optimizada de meios (recursos,
pessoas, processos, práticas) pra alcançar um determinado objectivo.
✓ Actua no planeamento, construção, organização e controlo das actividades
operacionais e se alinha com a direcção definida pela organização.
A Gestão de TI controla tarefas operacionais, enquanto a Governança de TI controla a

gestão.
UNIVERSIDADE
JOAQUIM CHISSANO
COBIT 5
Alinhamento do COBIT 5 com Standards
✓ Do ISACA: ✓ Outros Standards:
▪ COBIT 4.1; ▪ Information Technology Infrastructure
▪ Val IT; Library (ITIL);
▪ Risk IT; ▪ International Organization for

Standardization (ISO);
▪ Business Model for Information Security
(BMIS); ▪ Body Project Management of Knowledge
(PMBOK);
▪ IT Assurance Framework (ITAF);
▪ PRINCE2 e
▪ Taking Governance Forward (TGF); e
▪ The Open Group Architecture Framework
▪ Board Briefing on IT Governance 2nd Edition.
(TOGAF).
UNIVERSIDADE
JOAQUIM CHISSANO
COBIT 5
Estrutura do COBIT 5
✓ Os 5 Princípios do COBIT 5
✓ Modelo de Referência de Processos
✓ Implementação do COBIT 5
✓ Modelo de Capacidade de Processos
UNIVERSIDADE
JOAQUIM CHISSANO
COBIT 5
Os 5 Princípios do COBIT 5
1. Satisfazer
as
necessidades
dos
stakeholders
2. Cobrir
5. Separar todas as
governança áreas da
de gestão organização
Princípios
do
COBIT 5
4. Possibilitar 3. Aplicar um
uma framework
abordagem único e
holística integrado
Fonte: COBIT 5, ISACA, 2012
UNIVERSIDADE
JOAQUIM CHISSANO
1. Satisfazer as necessidades dos stakeholders
✓ As organizações existem para criar valor para seus stakeholders.
✓ As organizações têm muitos stakeholders e a ‘criação de valor’ tem
diferentes e, às vezes, conflituantes significados para cada um deles.
✓ O sistema de governança deve levar em consideração todas as partes

interessadas quando são tomadas decisões sobre benefícios, recursos e
avaliação de riscos.
✓ Em cada tomada de decisão, as seguintes Necessidades

dos stakeholders
✓ perguntas podem ser feitas:
▪ Quem recebe os benefícios?
▪ Quem se responsabiliza pelos riscos?
▪ Quais recursos são necessários?
Objectivo da governança: criação de valor
Realização de Optimização de Optimização de

benefícios riscos recursos
53
UNIVERSIDADE
JOAQUIM CHISSANO
1. Satisfazer as necessidades dos Stakeholders
Orientadores dos Stakeholders
(Ambiente, Evolução da tecnologia,...)
Influências
Necessidades dos stakeholders

Realização Optimização
de
Optimização de
de A cascata de Objectivos do COBIT 5 traduz as
riscos
benefícios recursos necessidades dos stakeholders em metas
específicas, praticáveis e personalizadas da
organização, de TI e dos enablers/faciilitadores.
• Possibilita a definição de prioridades para a
Metas da Organização
implementação, melhoria e garantia da
governança corporativa de TI com base nos
alinhados com objectivos (estratégicos) da organização e
nos riscos relacionados.
Metas estratégicos de TI
Na prática, a cascata de objectivos:
• Define as metas e os objectivos relevantes e
alinhados com tangíveis em vários níveis de responsabilidade.
Metas dos Enablers

54
UNIVERSIDADE
JOAQUIM CHISSANO
1. Satisfazer
as
necessidades
dos
stakeholders
5. Separar 2. Cobrir todas

governança de as áreas da
gestão organização
Princípios
do
COBIT 5
4. Possibilitar 3. Empregar
uma uma estrutura
abordagem única e
holística integrada

55
UNIVERSIDADE
JOAQUIM CHISSANO
2. Cobrir todas as áreas da empresa
✓ O COBIT 5 aborda a governança e gestão de TI relacionadas sob

uma perspectiva ampla, que envolve toda a organização.
Ou seja:
✓ Integra a Governança Corporativa de TI com a Governança da Organização,
isto é, o Sistema de Governança de TI proposto pelo COBIT 5 integra-se
perfeitamente com qualquer sistema de governança porque o COBIT 5 está
alinhado com as visões de governança mais recentes.
✓ Abrange todas as funções e todos os processos da empresa; o COBIT 5 não
foca somente as ‘funções de TI’, mas trata a informação e as tecnologias
relacionadas como activos com os quais todos da organização devem lidar,
como qualquer outro activo da empresa.
UNIVERSIDADE
JOAQUIM CHISSANO
1. Satisfazer
as
necessidades
dos
stakeholders

Princípios
do
COBIT 5
uma framework
abordagem único e

57
UNIVERSIDADE
JOAQUIM CHISSANO COBIT 5
3. Aplicar um framework único e integrado
✓integra todos os conhecimentos anteriormente dispersos em

diferentes frameworks do ISACA e está alinhado com os mais
actuais e relevantes padrões e frameworks utilizados.
✓Permite à organização utilizar o COBIT 5 como um integrador dos

frameworks de governança e de gestão.
UNIVERSIDADE
JOAQUIM CHISSANO 3. Aplicar um framework único e integrado
▪ Família de Produtos COBIT 5
COBIT ® 5
Guias de Enablers do COBIT® 5

®
COBIT 5: COBIT® 5: Outros Guias
Processos Informação
Guias Profissionais de Orientação doCOBIT® 5
®
COBIT 5 COBIT® 5 ®
® COBIT 5 Outros Guias
COBIT 5 Implementação Segurança Guião para
Riscos Profissionais
da Informação Validação
COBIT® 5 Ambiente Colaborativo on-line
59
UNIVERSIDADE
JOAQUIM CHISSANO
1. Satisfazer
as
necessidades
dos
stakeholders

Princípios
do
COBIT 5
uma framework
abordagem único e
Fonte: COBIT 5, ISACA, 2012 60

UNIVERSIDADE
JOAQUIM CHISSANO 4. Possibilitar uma abordagem holística
✓ Para apoiar a governança e gestão de TI utilizando uma abordagem que engloba
a organização como um todo, incluindo seus componentes e suas inter-relações,
o COBIT 5 define um conjunto de 7 enablers.
✓ Os Enablers do COBIT 5 são:

▪ Factores que, individual e colectivamente, influenciam o funcionamento da
governança e gestão corporativa de TI.
▪ Impulsionados pela cascata de metas, ou seja, os objectivos de alto nível
relacionados à TI definem quais resultados os diferentes enablers devem
alcançar.
UNIVERSIDADE
JOAQUIM CHISSANO
4. Possibilitar uma abordagem holística
Enablers (Facilitadores)
3. Estruturas 4. Cultura, ética e

2. Processos
organizacionais comportamento
1. Princípios, políticas e estruturas
6. Infraestrutura 7. Pessoas,
5. Informação de serviços e habilidades e
aplicações competências
UNIVERSIDADE
JOAQUIM CHISSANO
4. Possibilitar uma abordagem holística
1. Princípios, Políticas e Frameworks: são os veículos que traduzem o comportamento desejado
em um guia prático para a gestão quotidiana;
2. Processos: conjunto organizado de práticas e actividades para atingir certos objectivos com vista a
produzir um conjunto de outputs que auxiliem no cumprimento das metas relacionadas a TI;
3. Estruturas organizacionais: são as entidades-chave, responsáveis pela tomada de decisão numa
organização;
4. Cultura, Ética e Comportamento: dos indivíduos e da organização; muito frequentemente é
subestimada como um factor de sucesso nas actividades de governança e gestão;
5. Informação: está difundida por toda organização. Representa toda informação produzida e
utilizada pela organização.
6. Serviços, Infra-estrutura e Aplicações: inclui a infra-estrutura, tecnologia e aplicações que
fornecem à organização os serviços de TI;
7. Pessoas, Habilidades e Competências: está relacionado com as pessoas e são requeridas para
que as actividades sejam executadas com sucesso e para que decisões e acções correctivas sejam
realizadas de forma correcta.
UNIVERSIDADE
JOAQUIM CHISSANO
1. Satisfazer
as
necessidades
dos
stakeholders

Princípios
do
COBIT 5
uma framework
abordagem único e
Fonte: COBIT 5, ISACA, 2012 64

UNIVERSIDADE
JOAQUIM CHISSANO
5. Separar Governança da Gestão
✓Na governança, são discutidos e aprovados as políticas e os planos de
alinhamento estratégico (global e de TI), a implementação de processos e os
mecanismos de controlo que direccionarão a gestão da TI (EDM - Evaluate,
Direct, and Monitor).
✓A gestão consiste em planear, desenvolver, executar e monitorar actividades
alinhadas com a direcção estratégica estabelecida pela governança para atingir os
objectivos de negócios (PBRM – Plan, Build, Run e Monitor).
✓Na maioria das organizações, a gestão é da responsabilidade da direcção
executiva, sob a liderança do CEO.
65
UNIVERSIDADE 5. Separar Governança de Gestão
JOAQUIM CHISSANO
Necessidades da organização
Governança
(EDM ) Avaliar
Orientar Feedback dos Monitorar

gestores
Gestão
(PBRM )
Planear Desenvolver Executar Monitorar
(APO) (BAI) (DSS) (MEA)
66
UNIVERSIDADE
JOAQUIM CHISSANO Modelo de Referência de Processos
✓ COBIT 5 está subdividido em 2 principais áreas de actividade -

Governança e Gestão;
✓ 5 Domínios (EDM, APO, BAI, DSS e MEA):
▪ 5 Processos de Governança (EDM);
▪ 32 Processos de Gestão:
➢13 APO (Align, Plan and Organise);
➢10 BAI (Build, Acquire and Implement);
➢6 DSS (Deliver, Service and Support);
➢3 MEA (Monitor, Evaluate and Assess).
✓ 210 Práticas;
✓ 1111 Actividades.
UNIVERSIDADE
JOAQUIM CHISSANO Modelo de Referência de Processos
68
UNIVERSIDADE
JOAQUIM CHISSANO
Estrutura dos Processos
✓ Identificação do Processo
✓ Label do Processo: Domínio (EDM, APO, BAI, DSS, MEA) +Número do Processo;
✓ Nome do Processo: breve descrição do processo;
✓ Área do processo: governança ou gestão
✓ Nome de domínio
✓ Descrição – uma visão do que o processo faz e como o processo alcança seu propósito.
✓ Propósito do Processo – descrição geral do propósito do processo
✓ Informação de objectivos em cascata – referência e descrição dos objectivos
relacionados com a TI que são essencialmente suportados pelo processo e métricas
para medir o alcance dos objectivos relacionados com a TI.
UNIVERSIDADE
JOAQUIM CHISSANO Estrutura de Processos
✓Objectivos de processos e métricas – um conjunto de metas
de processo e um número limitado de exemplo de métricas.
✓Matriz RACI –atribuição de nível de responsabilidade por
práticas de processos para diferentes funções e estruturas.
▪ Descrição detalhada de práticas de processo – para cada
prática:
▪ Título da Prática e descrição;
▪ Entradas e saídas da prática, com indicação de origem e
destino;
▪ As actividades de processo, detalhando ainda mais as
práticas.
✓Guiões Relacionados.
UNIVERSIDADE
JOAQUIM CHISSANO Implementação do COBIT 5
Porque implementar o COBIT 5?
✓A ISACA desenvolveu a estrutura do COBIT 5 para auxiliar as

organizações a implementarem facilitadores de governança sólidos.
✓Implementar uma boa GEIT é quase impossível sem uma estrutura de

governança eficaz.
✓As estruturas, melhores práticas e normas são úteis somente quando

adoptadas e adaptadas com eficácia.
✓Esses são os desafios que precisam ser vencidos e as questões que

precisam ser abordadas para a implementação bem-sucedida da GEIT.
UNIVERSIDADE
JOAQUIM CHISSANO Implementação do COBIT 5
Como implementar o COBIT 5?
A implementação abrange os seguintes aspectos:

✓Posicionamento da GEIT numa organização;
✓Primeiros passos para o aperfeiçoamento da GEIT;
✓Desafios e factores de sucesso na implementação;
✓Promoção de mudanças organizacionais e
comportamentais relativas à GEIT;
✓Implementação de melhorias contínuas que
compreendem a viabilização de mudanças e a gestão
de programas;e,
✓Utilização do COBIT 5 e seus componentes.
UNIVERSIDADE
JOAQUIM CHISSANO
Gestão do programa
(círculo externo)
Promoção de mudanças
(círculo intermediário)
Ciclo contínuo de melhorias

(círculo interior)
Promover
melhorias
Fonte: COBIT 5 - ISACA,2012

UNIVERSIDADE
JOAQUIM CHISSANO Benefícios da Implementação do COBIT 5
COBIT 5 auxilia as organizações de todos os tamanhos a:
✓Manter informação de alta qualidade para suportar as decisões de negócios;
✓Gerar “valor” dos investimentos em TI, ou seja, atingir metas estratégicas e
entregar benefícios de negócio por meio do efectivo uso da TI;
✓Atingir a excelência operacional por meio da aplicação confiável e eficiente da
tecnologia;
✓Manter riscos relacionados com TI num nível aceitável;
✓Optimizar o custo e recursos de serviços de TI;
✓Manter a conformidade com leis, regulamentos, acordos contratuais e políticas.
UNIVERSIDADE
JOAQUIM CHISSANO Modelo de Capacidade de Processos (PAM)
Programa de Avaliação do COBIT que permite a uma organização:
✓ Obter uma avaliação independente e certificada, alinhada com a norma
internacional ISO/IEC 15 504 - SPICE (Software Process Improvement and
Capability Determination).
✓ Um novo modelo de avaliação baseado em capacidade, que inclui evidência de

requisitos;
▪ O Programa de Avaliação do COBIT suporta:
➢ Avaliações formais por avaliadores credenciados
➢ Auto-avaliações menos rigorosas para análise de lacunas interna e
planeamento de melhoria de processo
75
UNIVERSIDADE
JOAQUIM CHISSANO
Modelo de Capacidade de Processos
COBIT 5 (ISO/IEC 15504)
Nível de Capacidade Atributos
5 Optimizado (previsível e tem em vista a melhoria continua). PA 5.1 Inovação do Processo
PA 5.2 Optimização do Processo
4 Previsível (opera agora dentro dos limites definidos para produzir PA 4.1 Medição do Processo
seus resultados) PA 4.2 Controlo do Processo
3 Estabelecido (controlado e implementado utilizando um PA 3.1 Definição do Processo
processo definido capaz de atingir seus resultados) PA 3.2 Implementação do Processo
2 Gerido (implementado de forma administrativa (planeado, PA 2.1 Gestão da Execução
monitorado e ajustado) e seus produtos são adequadamente PA 2.3 Gestão dos Produtos de Trabalho
estabelecidos, controlados e mantidos)
1 Executado (implementado atinge seu objectivo) PA 1.1 Execução do Processo
0 Incompleto (não foi implementado/não atingiu seu objectivo)
UNIVERSIDADE
JOAQUIM CHISSANO
Considerações Finais
• COBIT 5 é um framework (de 2012) que pode ser usado em todas as áreas de
negócio de uma organização não se restringindo apenas a aspectos de TI (Cobit 4.1);
• COBIT 5 basea-se em Principios e facilitadores e não em Objectivos de Controlo
(Cobit 4.1);
• COBIT 5 possui para além dos domínios de gestão de TI, um domínio de
Governança corportativa;
• O modelo de Maturidade do COBIT 5 é mais realístico e rígido baseado nos
resultados do processo;
• integra diferentes frameworks e normas de Governança de TI.
UNIVERSIDADE
JOAQUIM CHISSANO
Bibliografia
1. Cannon, David (2008), CISA – Certified Information Systems Auditor Study Guide, Sybex
2. ISACA, 2012, COBIT 5, http://www.isaca.org/cobit/pages/default.aspx, consultado a 14/09/2015.
3. Luzia Dourado, 2014, COBIT 5, Framework de Governança e Gestão Corporativa de TI,

http://www.gestaoporprocessos.com.br/wp-content/uploads/2014/06/2APOSTILA-COBIT-5-v1.1.pdf,
consultado a 10/09/2015
4. EGIT, 2015, COBIT®5 Foundation Certificate Training Course.
5. Livraria online www.isaca.org
6. www.amai.org.mz
UNIVERSIDADE
JOAQUIM CHISSANO

Tema 3 IT Governance

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Tema 3 IT Governance

Enviado por

Direitos autorais:

Formatos disponíveis

UNIVERSIDADE

IAI: Introdução à Auditoria Informática

No fim do curso o estudante deve ser capaz de:

2. Responsabilidade - Definir quem deve garantir a execução - Função delegável.

4. Actividades – Executar o projecto/processo de maneira ordenada.

✓ O termo inclui também o estudo sobre as relações entre os diversos actores

✓ “Descreve a forma ou modo no qual os direitos e responsabilidades são

Auditoria Interna Conselho de

✓ África do Sul - Recomendação do King Code of Corporate Practises and Conduct

✓ UK - Recomendação do Cadbury Committee

✓ USA – Recomendação de Sarbannes-Oxley

✓ é uma imposição legal

✓ reporta aos Sócios

✓ é co-responsável pelo cumprimento da Lei e pela legalidade das acções da firma

▪ para orientar a abordagem de auditoria

▪ formular as normas que regulam a relação de auditoria;

✓ Avaliar os processos e os resultados respeitantes aos riscos da empresa e ambiente de controlo;

✓ Supervisar o processo de apresentação de relatórios financeiros;

✓ Avaliar e coordenar o processo de auditoria interna e externa;

✓ Promover e melhorar a comunicação e o contacto entre as partes interessadas pertinentes na

✓ Monitorar o cumprimento dos requisitos legais da empresa e o código de conduta da empresa.

✓ Concordar com a nomeação ou remoção do gerente geral de auditoria interna.

✓ Rever as actividades, estrutura organizacional e qualificações do departamento de auditoria interna.

✓ Rever os planos e orçamentos da auditoria interna.

✓ Rever os resultados de todos os trabalhos de auditoria interna executados.

✓ Assegurar que a auditoria interna cumpre as normas e regulamentos pertinentes.

✓ Assegurar que o departamento de auditoria interna mantém a sua independência.

✓ Rever os relatórios de auditoria interna à gerência e a resposta da gerência aos mesmos.

✓ Rever e avaliar os relatórios emitidos pelo Comité de Gestão de Risco.

✓ Rever se as funções e responsabilidades do Comité de Gestão de Risco, como estabelecido no seu

✓ Avaliar o desempenho do auditor externo.

✓ Maior isenção e independência

✓ Melhor coordenação e organização

✓ Maior integridade no processo de decisão

✓ Cumprimento das Leis e Directivas

✓ Opinião Imparcial e recomendações atempadas

✓ Mais desenvolvimento da organização!!

✓ Não é um conjunto de “ soluções”;

✓ Não é um “padrão”, no sentido de sua aplicação prática;

✓ Complementa-se e intercala-se com diversos “padrões” e “soluções”

✓ Possibilitar a comparação (de alto nível) entre as soluções adoptadas em

✓ Facilitar o compartilhamento de ferramentas, conhecimento e melhores

✓ Facilitar a comunicação e a definição de responsabilidades nos diversos níveis

✓ Consciencializar o pessoal de TI sobre a importância dos controlos;

✓ Delegar responsabilidades entre os participantes dos processos, tanto do lado de

✓ Ressaltar que ter controlo não significa BUROCRATIZAR;

✓ Ser transparente. Todos devem saber os respectivos papéis e responsabilidades.

▪ Pessoas (Utilizadores, clientes, equipe de TI e Gestores) – comunicação, treinamento e

▪ Processos – são o coração da organização de TI, pois concentra as actividades de operação

▪ Tecnologia – Deve ser considerado como recurso auxiliar na implantação de um modelo de

▪ Alinhar TI com os negócios

▪ Ruptura em processos críticos do negócio

▪ Pessoal administrativo não pode executar tarefas diárias

▪ Clientes não podem contactar o call center

▪ Pode resultar em perda de negócios, redução de lucros e danos na imagem da empresa

▪ Má definição dos requisitos

▪ Sistemas muito complexos para implementação

▪ Deficiência de recursos com experiência

▪ Deficiente Gestão de projectos

▪ Muitas organizações não entendem os custos associados aos seus activos

▪ O orçamento operacional aumenta a cada ano como resultado do complexo licenciamento,

▪ Défice recursos com experiência

▪ Projectos abandonados geram grandes perdas financeiras